Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Трудности перевода: перенос сервисов в облако

121 views

Published on

В рамках секции: Построение безопасного облака

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Трудности перевода: перенос сервисов в облако

  1. 1. ptsecurity.ru Трудности перевода Плюсы, минусы и «подводные камни» переноса сервисов в облако
  2. 2. ЗаголовокОблачные преимущества • Эластичность • Масштабируемость • Экономическая эффективность • Высокая доступность • Безопасность • Экологичность
  3. 3. ЗаголовокРаспределение ответственности
  4. 4. ЗаголовокРаспределение ответственности
  5. 5. ЗаголовокРаспределение ответственности
  6. 6. ЗаголовокСертификация и верификация Microsoft Azure • Argentina PDPA • Canadian Privacy Laws • China DJCP • CS Mark (Gold) • DoD • ENISA IAF • FIPS 140-2 • HIPAA/HITECH • ISO 9000 • ISO 22301 • ISO 27001 • ISO 27017 • ISO 27018 • NIST 800-171 • PCI DSS • Spain ENS
  7. 7. ЗаголовокОграничения Azure • VMs – 20 per Region • VM total core – 20 per Region • SQL Database servers – 6 • Public IP addresses (dynamic) – 5 • Reserved IPs per subscription – 20 • Max size of a file share – 5 TB
  8. 8. ЗаголовокОграничения Amazon Web Services • Elastic IP – 5 per Region • Elastic Load Balancer – 20 • Listeners per load balancer – 10 • Virtual Private Cloud – 5 • Max number of tables (DynamoDB) – 256
  9. 9. ЗаголовокEconomic Denial of Sustainability (EDoS)
  10. 10. ЗаголовокEconomic Denial of Sustainability (EDoS)
  11. 11. ЗаголовокEconomic Denial of Sustainability (EDoS)
  12. 12. Заголовокenergy oriented Denial of Service (eDoS) • Нацелена на увеличения потребления электроэнергии • Используются легитимные запросы • Не прерывает работу и продолжительная по времени • Атакующий не получает обратной связи об успешности атаки • Не имеет знаний о политиках управления элетроэнергией • Слабая связь между загрузкой и потреблением электроэнергии
  13. 13. Заголовок • Flexible • Scalable • Adaptable PT Application Firewall — мощное решение для защиты веб- приложений любой специфики и любой степени сложности. Комбинируя передовые технологии, решение непрерывно и проактивно защищает ваши приложения в Microsoft Azure от большинства атак: + OWASP Top 10 + DDoS-атаки уровня приложений + Атаки нулевого дня + Автоматизированные атаки + Специфические атаки на приложения в облаке (EDoS, экономический отказ в обслуживании) PT Application Firewall в Azure Marketplace «Компания Positive Technologies получила статус визионера в магическом квадранте Гартнера благодаря реализации сфокусированного на безопасности продуктового плана. Организациям, которые хотят обеспечить высокий уровень своей защищенности, стоит включить Positive Technologies в список главных кандидатов». Gartner Magic Quadrant for Web Application Firewalls 2016
  14. 14. ЗаголовокПроблема #1: несколько сетевых интерфейсов • Нельзя развернуть через Azure Portal VM c несколькими сетевыми интерфейсами  • Для некоторых VM size это вообще не доступно  • Только Azure PowerShell или Azure CLI • Нельзя добавить к уже развёрнутой VM дополнительный сетевой интерфейс  • Добавление дополнительного IP-адреса только по запросу (для каждой подписки отдельно)  • Bonus: предопределить скрипт для Custom Script Extension тоже нельзя  • Выход: solution template 
  15. 15. ЗаголовокПроблема #2: solution template • Плохая документация  • Нет директивы if … then  • Вместо неё механизм templateLink  • Нет простого способа отладки createUIdefinition.json  • Вместо него хитро-вывернутый URL вида: https://portal.azure.com/#blade/Microsoft_Azure_Compute/CreateMultiVmW izardBlade/internal_bladeCallId/anything/internal_bladeCallerParams/{" initialData":{},"providerConfig":{"createUiDefinition":"URL_ENCODED_LI NK_TO_createUiDefinition.json"}}" • Процесс публикации solution template в production непрозрачен от слова «совсем» 
  16. 16. Заголовок

×